《個人信息保護法》視野下的我國圖書館讀者個人信息保護
——法理思考及實現路徑

東 方

（衡陽師范學院圖書館 湖南衡陽 421008）

1 引言

大數據環境下，數據挖掘與利用極大地促進了數字經濟的發展和人民生活的便利，但個人信息遭泄露、被盜用現象也較為突出[1-2]。圖書館收集并保存了大量讀者的個人信息，在分析、利用過程中隱含著泄露、侵犯個人信息的風險。如何有效保護讀者的個人信息、維護讀者的人格權，對于圖書館來說顯得重要而迫切。放眼國外，美國國會圖書館[3]、英國國家圖書館[4]、日本國立國會圖書館[5]、澳大利亞的高校圖書館[6]等都制定了讀者個人信息保護政策和詳細細則。然而我國圖書館界保護讀者個人信息的意識薄弱，政策法規不夠完善。值得欣慰的是，我國關于個人信息保護的正式法律——《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）已于 2021年8月獲準通過，并于11月1日起正式實施[7]；這部法律對于保護公民的個人信息、維護公民的合法權益具有重要意義。作為社會文化服務和教育機構的圖書館，對讀者個人信息的利用、處理等行為理所當然在《個人信息保護法》的法律規制范圍之內。筆者認真研讀該法律全文條款，并聯系圖書館的實際進行思考：在《個人信息保護法》規制下，我國圖書館讀者個人信息保護的法理基礎和依據是什么？究竟保護讀者的哪些權益？又該如何尋求一條實現讀者個人信息保護與個人信息服務利用之間平衡的有效路徑？這正是本文的研究主題。

2 圖書館讀者個人信息保護的法理分析與思考——以《個人信息保護法》為指引

2.1 我國有關“個人信息保護”立法概況及《個人信息保護法》內容框架

我國學術界一直致力于“個人信息保護”的理論研究和立法探索工作，并取得一定成效。原有的相關法律未對公民的個人信息作明確界定，一般認為包括姓名、性別、年齡等基礎信息和受教育水平、家庭情況、婚姻、從事職業等個人狀況信息。按照施行時間的先后排列，迄今為止我國關于個人信息保護的法律有四部（不含條例、指南）：《中華人民共和國網絡安全法》[8]、《中華人民共和國公共圖書館法》[9]、《中華人民共和國民法典》[10]、《個人信息保護法》[7]。詳情如表1、表2所示。

表1 我國有關“個人信息保護”立法概況一覽表

表2 我國《個人信息保護法》內容框架一覽表

2.2 保護讀者個人信息是圖書館應盡的法律義務

《個人信息保護法》第五章“個人信息處理者的義務”、第六章“履行個人信息保護職責的部門”對相關主體部門保護公民個人信息的義務和職責作了詳細的規定[7]。《個人信息保護法》為圖書館保護讀者個人信息提供了很好的指引和法制保障，保護讀者個人信息是圖書館應盡的法律義務。

受《個人信息保護法》的啟發，可將圖書館讀者個人信息界定為：在整體圖書館范圍內，以電子方式或以其他方式記錄、并據此識別某特定讀者的各類信息。一般來說，圖書館讀者個人信息的范圍包括個人基礎信息、借閱信息、敏感個人信息，這三類信息具有某種關聯性，但在實質上存在差別[11]。圖書館為了提升服務層次，推動全民閱讀和公共文化服務進程，不可避免地將進行讀者個人信息的收集、儲存、傳輸、公開、加工、利用等信息處理活動。圖書館讀者個人信息處理面臨一定的困境，影響圖書館核心價值的體現[12]。《個人信息保護法》第五十一條明確規定，個人信息處理者應當依據有關目的、方式、影響、安全風險等因素，采取必要措施確保個人信息處理活動依法進行，防止個人信息泄露及被非法篡改等[7]。圖書館對讀者個人信息的處理理當遵守《個人信息保護法》的規定，盡義務保護讀者個人信息。如：一方面，圖書館要遵照《個人信息保護法》的法律條文規定，主動履行讀者個人信息保護義務。圖書館對讀者個人信息進行處理時，要按照《個人信息保護法》的立法精神，發揮自身職能，根據讀者的申請要求，堅持“個人同意、合法使用”的基本原則[13]，有效開展個性化服務和深層次服務，滿足讀者的信息需求。若不作為或泄露讀者個人信息，損害讀者權益，圖書館需承擔相應的法律責任。另一方面，圖書館有義務提醒讀者自覺保護個人信息。在圖書館網站顯著位置標明讀者保護個人信息的提示和聲明，注意個人信息安全，引導讀者樹立“保護個人信息”的法律意識。

2.3 尊重人格權是圖書館保護讀者個人信息的法理基礎

《個人信息保護法》第二十八條指出，公民個人信息特別是個人敏感信息如果遭到泄露或侵犯，將導致其人格尊嚴和人身、財產安全受損[7]，法律強調了人格尊嚴對于個人信息保護的重要性。《中華人民共和國民法典》也規定，公民個人信息保護需建立在尊重和保護公民人格權、人格利益的基礎之上[10]。圖書館也在這些法律條款規定的約束范圍之內，尊重人格權是圖書館保護讀者個人信息的重要法理基礎。圖書館讀者通過圖書館的借閱、公共文化服務、網絡個性化服務等途徑，提升自身的綜合素質和文化素養，進而求學深造或參加工作，這本身就是人格尊嚴價值的社會體現。圖書館在保護讀者個人信息的前提下進行必要的個人信息處理行為，進行數據挖掘，給予讀者人格關懷，幫助讀者實現人格發展[12]。圖書館讀者個人信息維系著主體的人格尊嚴，也是其人格利益的重要載體；圖書館實行讀者個人信息保護首先應尊重和維護讀者的人格權。國際圖書館協會與機構聯合會（International Federation of Library Associations and Institutions,IFLA）的解釋認為，尊重讀者的人格尊嚴方能彰顯圖書館的核心價值[14]。保護讀者個人信息，給予讀者人格關懷，促進信息資源的開發利用，這是新時代圖書館社會價值的集中體現。

2.4 圖書館讀者擁有法律賦予的個人信息知情權和自主決定權

《個人信息保護法》第四十四條規定，公民對自身個人信息的處理享有知情權、決定權，有權限制或拒絕他人使用；第十四條規定，對公民個人信息進行處理，必須事先征得個人的知情同意[7]。可見法律賦予了公民對個人信息的知情權、自決權，圖書館讀者亦擁有法律賦予的個人信息知情權和自主決定權。圖書館讀者對個人信息擁有的這些權利是保障讀者合理享受與利用圖書館服務、確保個人信息安全的重要體現。圖書館應遵守《個人信息保護法》的相關規定，維護和保障讀者對個人信息的知情權和自主決定權，在圖書館網站的顯著位置向讀者公開讀者個人信息種類、獲取、利用等流程說明，保障讀者對其個人信息的充分知情，并承諾保護讀者個人信息。同時，圖書館還應該對讀者的個人信息嚴加管理，充分尊重讀者的自主決定權，如：因需要隨時增加、修改或刪除個人信息，隨時申請查詢或讀取個人信息等。圖書館要承諾并做到未經讀者同意，不得擅自公開、泄露、篡改讀者個人信息。我國圖書館界在這方面作了有益的探索和嘗試，如江西省圖書館、浙江圖書館、貴陽圖書館等出臺了有關讀者個人信息保護的聲明，體現了個人信息保護過程中讀者的知情權和自決權[15]，但具體規則尚需進一步完善。

3 《個人信息保護法》視野下我國圖書館讀者個人信息保護的實現路徑

3.1 力求讀者個人信息保護與個人信息服務利用之間的平衡，彰顯圖書館核心價值

中國圖書館學會在《圖書館服務宣言》中指出，圖書館的核心價值之一是“有效促進讀者個人信息資源的利用，體現讀者人文關懷”[16]。《個人信息保護法》第十條明確規定，從事個人信息處理活動時不得危害國家安全和社會公共利益[7]。隨著現代信息技術在圖書館的不斷發展和應用，圖書館獲取讀者個人信息并加以分析挖掘，根據讀者的需求和偏好進行用戶畫像，提供更為高效、精準的個性化知識服務成為推進新時代圖書館事業進步的重要課題。然而，圖書館在促進個人信息服務利用過程中，勢必涉及到讀者個人信息的處理。因此，圖書館應有效解決讀者個人信息保護與提供個性化服務之間的潛在沖突，力求讀者個人信息保護與個人信息服務利用之間的平衡，彰顯圖書館的社會價值。一方面，圖書館要把握好信息資源有效利用與讀者個人信息保護、數據挖掘利用與數據安全保障之間的平衡，全面貫徹執行《個人信息保護法》的原則和法律規定，建立保障監督機制，合理利用讀者個人信息中蘊藏的數據，提升圖書館的服務質量。另一方面，圖書館應探求平衡個人信息服務利用與讀者個人信息保護之間的限度，避免過度保護。圖書館在總體遵循《個人信息保護法》的前提下，可細化規定讀者個人信息利用和處理的相關標準，增加與讀者的交互環節（如同意、許可、匿名使用、合理使用）等，對讀者個人敏感數據及合理使用范圍之外的數據應加大保護力度，減少讀者個人信息的泄露、遭侵犯風險（見圖1）。

圖1 讀者個人信息保護、個人信息服務利用、圖書館核心價值平衡圖

3.2 立足《個人信息保護法》，完善圖書館讀者個人信息保護的法規體系

《個人信息保護法》是維護我國公民合法權益、推進公民個人信息保護事業發展的普遍約束性法律，其確定的個人信息保護基本原則與規定開啟了我國個人信息保護的“新征程”。《個人信息保護法》為圖書館的讀者個人信息保護工作提供了強大的法律支撐，對于讀者個人信息保護政策的制定和實施具有較重要的理論參考價值和現實指導意義。然而，我們要實事求是地看到，《個人信息保護法》總體上是一部提綱挈領式的基礎性法律，不足以囊括和解決現實實踐中的所有問題。圖書館讀者個人信息保護工作有自身的特殊性，最主要的表現就是要將讀者個人信息保護與深化讀者服務結合起來。因此，圖書館要在《個人信息保護法》基本框架約束的基礎上，積極主動完善有關讀者個人信息保護的法規體系與配套規章制度。

我國圖書館界原已進行了讀者個人信息保護方面的努力，也制定和出臺了一些法規、條例等，但系統性不強、收效不大。舉例來說，作為圖書館官方的法律，《中華人民共和國公共圖書館法》專門設有讀者個人信息保護的法律條款，但數量極少、操作細則不全，在保護讀者個人信息權益方面仍存在缺失，亟需完善[17]。另外也制定了一些與讀者個人信息保護相關的條例規范，如：《中國圖書館員職業道德準則》《兒童個人信息網絡保護規定》《公共圖書館服務規范》《江西省圖書館門戶網站關于用戶隱私的保護聲明》《浙江圖書館隱私聲明》等，取得了一定效果，但沒有形成圖書館讀者個人信息保護的整套法規體系。因而，我國圖書館界應該在文化與旅游部的領導下，在中國圖書館學會、地方各級圖書館學會的支持下，結合圖書館的實際，制定切實可行的《圖書館讀者個人信息保護指南》，推進讀者個人信息處理。《圖書館讀者個人信息保護指南》要以《個人信息保護法》為依據和準繩，具體規定：圖書館讀者個人信息保護的宗旨、原則、指導思想；可采集的讀者個人信息的標準、類型；圖書館讀者個人信息處理者的權利和義務；讀者個人信息處理規則；圖書館讀者個人信息安全管理；違約責任及糾紛救濟措施，等等。

3.3 設立讀者個人信息保護館員，加強專職管理

《個人信息保護法》第五十二條規定，達到國家網信部門規定數量的個人信息處理部門應指定個人信息保護負責人，負責監督個人信息處理活動及其保

護措施等[7]。圖書館擁有大量的讀者，達到網信部門規定的數量標準，應當設立讀者個人信息保護館員，以加強專職管理。圖書館選拔讀者個人信息保護館員時，要全盤考慮其是否具備圖書情報學、法學、計算機科學等多學科背景和公正守信、誠懇兢業的職業素養，主要提供圖書館讀者個人信息保護的規章制定、政策宣傳和范圍界定、讀者個人信息提交與保護事項告知、個人信息安全監督與保護、讀者個人信息受侵犯后的法律援助與救濟等知識幫助和服務。讀者個人信息保護館員肩負著重要職責，主要包括：個人信息保護規則制定與責任擔當職責；上傳下達溝通與監督職責；讀者個人信息處理職責（合法收集、存儲、刪除、更改、利用等）；讀者個人信息保護風險預警及防范；個人信息安全技術保護職責[18]等。

3.4 區分讀者群體，注重讀者個人敏感信息的保護

《個人信息保護法》的亮點與特色之一是確定了個人敏感信息的處理規則。第二十八條至第三十二條對個人敏感信息的涵義和范圍進行了明確界定，并確立了“知情同意”的處理規則。按照法律規定，個人敏感信息主要包括身份特征、個人信仰、健康信息、生物識別、銀行賬戶、個人行蹤等，還包括未成年人個人信息（未滿十四周歲）[7]。圖書館擁有多種不同的讀者群體，如師生群體、老年人群體以及未成年人群體[19]等，包含大量的個人敏感信息。讀者個人敏感信息與個人的人格尊嚴密切相關，圖書館應該要區分不同讀者群體，注重讀者個人敏感信息的保護，以體現法律的威力和對讀者的人文關懷。圖書館在實踐中可構建讀者個人敏感信息保護機制[20]，貫徹《個人信息保護法》，在征得讀者個人和未成年人的父母或監護人“同意”的前提下，依法進行收集、存儲、分析、利用等個人信息處理活動；建立分級分類保護體系，嚴格保護讀者個人敏感信息，防止泄露、篡改，保障讀者的個人權利與合法利益。區分讀者群體，執行“同意”規則，實施讀者個人敏感信息的重點保護，可以有效保障讀者對個人敏感信息的參與權和控制權，防范讀者個人信息泄露和遭侵犯風險。

4 結語

《個人信息保護法》的頒布和正式實施標志著我國公民的個人信息保護進入“新時代”，也為圖書館讀者個人信息保護提供了新的指引與法律保障。圖書館界應認真學習、貫徹《個人信息保護法》的法制精神和規定，制定較完善的讀者個人信息保護政策，認真履行讀者個人信息保護義務。文章以《個人信息保護法》為指引，對圖書館讀者個人信息保護進行了法理分析與思考，并詳細探討了《個人信息保護法》視野下我國圖書館讀者個人信息保護的實現路徑。同時應該看到，圖書館讀者個人信息保護也面臨著一些現實困難和障礙。如何發揮現代新信息技術的作用、構建切實有效的讀者個人信息保護風險評估和實施監督機制，則是有待進一步研究的議題。